Notes de version Okta Identity Engine (2024)

Okta MFA Credential Provider pour Windows, version 1.3.8

Cette version de l'agent contient des correctifs de bugs et des améliorations de la sécurité. Consultez l'historique d'Okta MFA Credential Provider pour Windows.

Identity Governance

Okta Identity Governance est une plateforme SaaS de gestion des accès et des identités intuitive et convergente. Utilisez-la pour simplifier et gérer les cycles de vie des identités et des accès sur plusieurs systèmes tout en améliorant la sécurité globale de votre entreprise.

Utilisez les solutions Okta Identity Governance, comme les certifications d'accès, Access Requests et les rapports pour :

• Créez, protégez et vérifiez de manière efficace l'accès aux ressources critiques.

• Améliorez la sécurité de votre entreprise. Améliorez la productivité de vos employés.

• Améliorez l'efficacité informatique en automatisant les tâches. Vous pourrez ainsi gagner du temps et diminuer la fréquence des erreurs associées aux tâches de saisie manuelle des données et d'approvisionnement.

Consultez Identity Governance.

Remarque : Okta Identity Governance est disponible sous la forme d'un abonnement. Pour en savoir plus, contactez votre responsable de compte ou votre gestionnaire de la réussite clients.

Prévisualiser un crochet incorporé de jeton

Avant d'implémenter un crochet incorporé de jeton, vous pouvez désormais prévisualiser la demande de crochet et la réponse du service externe dans l'Admin Console. Cette fonctionnalité favorise le développement et le test des crochets incorporés avant leur publication dans un environnement de production. Consultez Prévisualiser un crochet incorporé et Prévisualiser et tester le crochet incorporé de jeton.

Plug-ins IE et Edge Legacy

Vous ne pouvez plus télécharger les plug-ins de navigateur Internet Explorer (IE) et Edge Legacy depuis la page Téléchargements. Ces plug-ins ne sont pas pris en charge.

Améliorations apportées à l'expérience de connexion

Lorsque les utilisateurs créent un compte à l'aide du lien Inscription dans le Sign-In Widget, ils saisissent leurs nom et prénom ainsi que leur adresse e-mail sur la première page. Le Sign-In Widget affiche alors la page des authentificateurs, sur laquelle les utilisateurs saisissent un mot de passe et configurent les autres authentificateurs obligatoires. Pour simplifier le processus d'inscription, la fonctionnalité Inscription en libre-service avec mot de passe vous permet d'afficher à la place le mot de passe saisi sur la première page du formulaire d'enrôlement. Consultez Collecter les informations de profil et enregistrer les utilisateurs.

Gérer la prise en charge de l'authentification intégrée par widget

Okta fournit l'Okta Sign-in Widget prêt à l'emploi pour que les clients puissent authentifier les utilisateurs en les redirigeant simplement vers le widget. Pour les clients qui ont besoin d'une expérience de connexion personnalisée, Okta fournit également un SDK de widget que les développeurs peuvent intégrer dans leurs applications. Ce widget intégré utilise un mode d'autorisation personnalisé appelé type d'autorisation par code d'interaction pour authentifier les utilisateurs. Le bouton bascule de prise en charge de l'authentification intégrée par widget permet aux super administrateurs de désactiver l'option d'authentification intégrée dans toutes les applications et tous les serveurs d'autorisation. Cela permet d'assurer une cohérence et améliore la posture de sécurité de vos applications. Consultez Configurer la prise en charge de l'authentification intégrée

Amélioration de la sécurité des notifications Push d'Okta Verify

Pour aider les utilisateurs à reconnaître et à prévenir les attaques d'hameçonnage, les notifications Push d'Okta Verify sur les appareils mobiles et les Apple Watch incluent le nom de l'application à laquelle il faut accéder et l'URL de l'org.

ChromeOS comme plateforme d'appareil

Vous pouvez désormais sélectionner et ajouter ChromeOS en tant que plateforme d'appareil dans les règles de stratégie d'authentification et les règles de routage des fournisseurs d'identité. Cela vous permet de configurer la manière dont les utilisateurs accèdent aux ressources protégées par Okta depuis des appareils ChromeOS. Consultez Ajouter une règle de stratégie d’authentification et Configurer les règles de routage du fournisseur d'identité .

Générateur de chaîne de certificats pour l'IdP par carte à puce

Les administrateurs peuvent désormais télécharger des fichiers de certificats individuels pour générer une chaîne de certificats pour un IdP par carte à puce. Ceci élimine l'obligation de créer manuellement un fichier contenant la chaîne de certificats. Consultez Ajouter un fournisseur d'identité par carte à puce.

Rapport d'utilisation de la téléphonie

Le rapport Utilisation de la téléphonie affiche des données sur les événements téléphoniques d'une org au fil du temps. Le rapport peut être filtré par événements Appel ou SMS et permet aux administrateurs de comprendre rapidement les tendances d'utilisation et de résoudre les problèmes de délivrabilité ou de demande. Consultez Rapport d'utilisation de la téléphonie.

Événements relatifs à la délivrabilité des e-mails dans le System Log

Les administrateurs peuvent désormais visualiser les types d'événements de délivrabilité des e-mails suivants dans le System Log :

• Delivered
• Deferred
• Dropped
• Bounce

Les administrateurs peuvent ainsi mieux surveiller l'activité de délivrabilité des e-mails dans leur org. Consultez System Log.

Changements apportés à la déconnexion unique pour les domaines personnalisés

Si un administrateur se déconnecte d'un domaine personnalisé, ses sessions de domaine et de sous-domaine administrateur restent désormais actives. S'il se déconnecte du domaine ou du sous-domaine administrateur, sa session dans le domaine personnalisé est terminée.

Améliorations de la page Personnes

Les résultats du filtre de la page Personnes sont améliorés comme suit :

• Les résultats du filtre Statut > Réinitialisation du mot de passe incluent désormais les utilisateurs avec le statut Mot de passe expiré et Mot de passe réinitialisé.

• Les résultats du filtre Statut > Actif renvoient uniquement les utilisateurs dont le statut est actif.

Agent AD Okta, version 3.13.0

Cette version de l'agent contient les changements suivants :

• Contrôle d'intégrité du service de mise à jour automatique avant le lancement du processus de mise à jour automatique
• Prise en charge des proxys Web pour la fonctionnalité de mise à jour automatique des agents
• Mise à jour de la catégorie de journal pour les journaux existants de DEBUG vers INFO
• Correctifs de sécurité

Consultez l'historique des versions de l'Active Directory Agent Okta.

Agent d'Okta RADIUS Server, version 2.17.7

Cette version de l'agent contient des correctifs de sécurité et résout une fuite de mémoire qui se produisait lorsque les agents étaient configurés pour EAP-TTLS. Consultez l'historique des versions de l'agent Okta RADIUS Server.

Amélioration de l'expérience pour la réinitialisation de mot de passe en libre-service

Auparavant, le processus de réinitialisation du mot de passe en libre-service manquait de fluidité au niveau de l'expérience utilisateur. La nouvelle fonctionnalité optimisée inclut un lien magique qui simplifie l'expérience pour les adresses e-mail dont le mot de passe a été réinitialisé. Les utilisateurs n'ont plus besoin de donner leur accord lorsqu'ils utilisent le même navigateur. Après une réinitialisation de mot de passe réussie, si le mot de passe respecte la politique de garantie de l'application, l'utilisateur est directement connecté à celle-ci. Consultez Configurer l'authentificateur par e-mail.

Cette fonctionnalité est actuellement activée par défaut pour les nouvelles orgs.

Amélioration du processus de déverrouillage en libre-service

Les versions précédentes du processus de déverrouillage en libre-service manquaient de fluidité au niveau de l'expérience de l'utilisateur final. La nouvelle fonctionnalité optimisée de ce processus de déverrouillage inclut un lien magique qui simplifie l'expérience pour les adresses e-mail dont les mots de passe ont été réinitialisés. Les utilisateurs n'ont plus besoin de donner leur accord lorsqu'ils utilisent le même navigateur. En outre, après avoir réussi à déverrouiller leur compte, cliquer sur le lien magique par e-mail est pris compte par la politique de garantie de l'application. Une fois que les exigences d'assurance sont remplies, l'utilisateur est directement connecté à l'application. Consultez Configurer l'authentificateur par e-mail.

Cette fonctionnalité est actuellement activée par défaut pour les nouvelles orgs.

Nouvelles autorisations pour les rôles d'administrateur personnalisés

Les super administrateurs peuvent désormais affecter les nouvelles permissions suivantes à leurs rôles d'administrateur personnalisés :

• Manage authorization server (Gérer le serveur d'autorisation)
• View authorization server (Afficher le serveur d'autorisation)
• Manage customizations (Gérer les personnalisations)
• Voir les personnalisations

Les autorisations de serveur d'autorisation peuvent être étendues à tous les serveurs d'autorisation de l'org, ou seulement à un sous-ensemble. Avec ces nouvelles permissions, les super administrateurs peuvent désormais créer des rôles d'administrateur personnalisés avec des permissions plus précises pour gérer les personnalisations et les serveurs d'autorisation de leur organisation. Consultez la section À propos des autorisations de rôle.

Nouvelles tâches HealthInsight

Deux nouvelles tâches HealthInsight aident les administrateurs à améliorer la sécurité de leurs stratégies de session globale. HealthInsight fournit désormais des conseils pour augmenter la fréquence d'authentification requise pour des ressources spécifiques et pour exiger des utilisateurs à haut risque qu'ils fournissent une MFA à chaque fois qu'ils se connectent. Consultez Modifier la fréquence d'authentification et Évaluer un score de risque pour chaque demande.

Crochets d'événement pour la révocation du consentement

Les événements de révocation de consentement peuvent désormais être sélectionnés pour être utilisés avec les crochets d'événement. Consultez Ajouter un crochet d'événement. Consultez Types d'événements pour obtenir la liste des événements pouvant être utilisés avec des crochets d'événement.

Authentification unique de bureau sans agent

Avec l'authentification unique de bureau sans agent (DSSO), vous n'avez pas besoin de déployer des agents IWA dans vos domaines Active Directory pour implémenter la fonctionnalité DSSO. Cela permet de réduire ou d'éliminer les frais de maintenance tout en fournissant un haut niveau de disponibilité, car Okta prend la responsabilité de la validation Kerberos. Consultez Authentification unique de bureau Active Directory.

Prise en charge de l'interrogation pour les sessions d'authentification unique du bureau sans agent et Integrated Windows Authentication

Les sessions d'authentification de l'authentification unique de bureau sans agent (ADSSO) et d'Integrated Windows Authentication (IWA) incluent désormais l'interrogation pour réduire la probabilité d'interruptions de service pendant les périodes d'utilisation élevée de la bande passante. Pour les utilisateurs s'authentifiant avec ADSSO ou IWA pendant les périodes de pointe, cette modification augmente la probabilité qu'un serveur soit disponible pour traiter leur requête d'authentification. Consultez Authentification unique de bureau Active Directory.

Mises à jour de la progression de l'authentification unique de bureau sans agent

Les pages de progression de l'authentification unique de bureau sans agent (ADSSO) ont été mises à jour pour rendre la progression de l'autorisation et de la vérification plus visible et améliorer l'expérience de l'utilisateur. Consultez Configurer l'authentification unique de bureau sans agent.

Paramètres d'expiration du mot de passe pour Active Directory

Vous pouvez spécifier les stratégies d'expiration des mots de passe pour Active Directory pour toutes les organisations d'aperçu afin de définir l'ancienneté maximale du mot de passe en jours et le nombre de jours avant l'expiration du mot de passe lorsque l'utilisateur reçoit un avertissement.

Utilisateurs JIT depuis Active Directory

L'approvisionnement juste-à-temps (JIT) permet de créer automatiquement un compte utilisateur dans Okta la première fois qu'un utilisateur s'authentifie avec l'authentification déléguée Active Directory (AD) ou LDAP, ou la SSO de bureau. La création et l'activation de compte JIT fonctionnent uniquement pour les utilisateurs qui ne sont pas déjà des utilisateurs Okta. Autrement dit, les utilisateurs confirmés sur la page des résultats d'importation ne sont pas éligibles à l'action JIT, qu'ils aient ou non été activés par la suite. Lorsque JIT est activé, les utilisateurs ne reçoivent pas d'e-mail d'activation. Consultez Ajouter et mettre à jour des utilisateurs avec l'approvisionnement juste-à-temps Active Directory et Ajouter et mettre à jour des utilisateurs avec l'approvisionnement juste-à-temps LDAP.

Amélioration de la fonctionnalité SPN

La nouvelle fonctionnalité de nom principal de service (SPN) permet à l'authentification unique sur les postes de travail sans agent (ADSSO) de poursuivre sans interruption lorsqu'un SPN est mis à jour. Un compte de service et un SPN sont requis pour l'authentification Kerberos ADSSO. Avec ce changement, vous pouvez désormais mettre à jour le SPN fréquemment afin de renforcer la sécurité. Consultez Créer un compte de service et configurer un nom principal de service..

Amélioration des intégrations LDAP Okta à Universal Directory

Les intégrations LDAP Okta offrent désormais des fonctionnalités de mappage personnalisé, de reconnaissance de schémas et un schéma d'attributs entièrement extensible qui vous permet d'importer ou de mettre à jour tout attribut stocké dans LDAP. Avec ces améliorations, LDAP Okta correspond à la fonctionnalité de schéma déjà disponible pour les intégrations Active Directory. Consultez Éditeur de profil.

Prise en charge OpenLDAP pour les classes d'objets auxiliaires

Vous pouvez maintenant entrer une liste de classes d'objets auxiliaires séparées par des virgules lors de l'importation d'utilisateurs depuis LDAP. Consultez Configuration de vos paramètres LDAP.

Nouveau filtre de tableau de bord des limites d'utilisation

Vous pouvez désormais filtrer les API répertoriées dans le tableau de bord des limites d'utilisation en fonction de leur statut d'éligibilité au multiplicateur de limite d'utilisation. Consultez Surveillance des limites d'utilisation.

Authentificateurs éligibles dans la liste Méthodes de sécurité

La liste Méthodes de sécurité de la page Paramètres affiche désormais uniquement les authentificateurs auxquels un utilisateur peut s'inscrire en fonction de la configuration de la politique d'enrôlement des authentificateurs de l'org. Cela améliore l'expérience utilisateur en garantissant que les utilisateurs ne voient que des options qui permettent une inscription des authentificateurs réussie.

Mise à jour de l'adresse e-mail du portail ISV

L'adresse e-mail pour les communications du portail ISV est désormais oanapp@okta.com.

Agent LDAP Okta, version 5.15.0

Cette version de l'agent contient des améliorations de sécurité. Consulter l'historique des versions de l'agent LDAP Okta.

Agent du serveur RADIUS Okta, version 2.17.6

Cette version de l'agent contient des correctifs de sécurité. Consultez l'historique des versions de l'agent Okta RADIUS Server.

Agent de MFA local Okta, version 1.6.0

Cette version de l'agent contient des correctifs de sécurité. Consultez l'historique des versions de l'agent Okta On-Prem MFA.

Protection par verrouillage

Cette fonctionnalité ajoute la possibilité de bloquer les tentatives de connexion suspectes provenant d'appareils inconnus. Les utilisateurs qui se connectent à Okta avec des appareils qu'ils ont déjà utilisés ne seront pas verrouillés.

Serveur d'autorisation par défaut non supprimable

Le serveur d'autorisation par défaut est un serveur personnalisé fourni par Okta pour permettre aux clients de commencer rapidement à travailler avec Okta. Cependant, si un client supprime le serveur d'autorisation par défaut, il ne peut pas être restauré, ce qui provoque de la confusion et l'interruption du service. Grâce à cette amélioration, vous ne pourrez plus supprimer le serveur d'autorisation par défaut. Vous pourrez toutefois le désactiver s'il n'est pas nécessaire. Pour vous permettre de l'identifier plus facilement, Okta ajoute l'étiquette Par défaut au niveau du serveur d'autorisation par défaut dans l'Admin Console. Consultez Gestion des accès aux API.

Prise en charge de LDAP ODSEE

Okta prend désormais en charge les intégrations LDAP d'Oracle Directory Server Enterprise Edition (ODSEE) avec la mise à niveau vers l'agent LDAP version 5.6.3 et ultérieure. Consultez Références sur l'intégration LDAP Oracle Directory Server Enterprise Edition.

Prise en charge de LDAP eDirectory

Okta prend désormais en charge les intégrations LDAP eDirectory avec la mise à niveau vers l'agent LDAP version 5.6.2 ou ultérieure. Consultez Références sur l'intégration LDAP eDirectory.

Message d'erreur personnalisé

Les administrateurs peuvent désormais personnaliser le message d'erreur que les utilisateurs reçoivent lorsqu'un accès leur est refusé. Cela permet aux administrateurs de fournir des instructions de remédiation et/ou de rediriger les utilisateurs vers une documentation qui les aide à résoudre les problèmes d'accès. Consultez Personnaliser le message d'erreur d'accès refusé.

Clonage des stratégies d'authentification

La création d'une stratégie d'authentification de A à Z est une tâche manuelle sujette à erreurs, car vous devez copier visuellement des règles existantes dans la nouvelle stratégie. Okta vous permet désormais de cloner une stratégie. Vous pouvez soit passer par la console administrateur, soit utiliser la nouvelle opération Clone a Policy (Cloner une stratégie) sur l'API Policy. Consultez Cloner une stratégie d'authentification.

Règles de routage dynamiques

Les administrateurs de l'organisation peuvent désormais consolider plusieurs règles de routage de fournisseur d’identité en une seule règle de routage dynamique. Les règles de routage dynamiques utilisent le langage d'expression pour faire correspondre les utilisateurs avec n'importe quel fournisseur d'identité en fonction des attributs de leur objet de connexion. Le volume et la complexité des règles de routage sont ainsi réduits, de même que l'effort manuel pour les gérer. Consultez Configurer des règles de routage dynamiques.

Conditions des applications dans les stratégies d'authentification

Les administrateurs peuvent désormais appliquer, à Okta ou à toute application prenant en charge l'inscription à l'authentification multifacteur (MFA), une règle de stratégie d'inscription MFA. Les administrateurs peuvent ainsi configurer leurs stratégies avec plus de granularité, ce qui augmente encore la sécurité et la flexibilité. Cette version propose ainsi une fonctionnalité identique à celle disponible dans Classic Engine. Consultez Configurer une règle de stratégie d'inscription à l'authentification.

Fournisseur de sécurité de l'agent de MFA local

L'agent de MFA local utilise désormais un fournisseur de sécurité conforme à la norme FIPS.

Générer une clé privée au format PEM

Vous pouvez désormais utiliser le format PEM ou JWK pour la clé privée lorsque vous générez une paire de clés publique/privée à partir de la console administrateur. La clé publique ne prend pas en charge le format PEM.

Amélioration du blocage des SMS et appels

Des mesures supplémentaires sont désormais appliquées pour bloquer le trafic de SMS et d'appels suspect provenant des pays qui sont généralement exposés à des attaques par fraude téléphonique. Les transactions bloquées affichent un statut de refus dans le journal système.

Notifications par e-mail des problèmes de connexion des agents

Les clients sont désormais avertis par e-mail en cas de problèmes de déconnexion/reconnexion massive des agents.

Critères de correspondance des noms d'utilisateur

Un nouveau paramètre de Sécurité organisationnelle détermine la manière dont le profil d'un utilisateur est mis en correspondance lorsqu'il se connecte. Autoriser les correspondances courtes permet aux utilisateurs de se connecter sans leur domaine, tandis que Faire correspondre le nom d'utilisateur complet nécessite le domaine. Voir Sécurité générale.

Améliorations d'OIN Manager

La page d'arrivée d'OIN Manager comprend désormais un ensemble de liens d'assistance et une barre de recherche pour faciliter les soumissions d'intégration.

Corrata : pour obtenir des informations de configuration, consultez le guide d'intégration Okta Corrata.

Entrustient : pour obtenir des informations de configuration, consultez le guide de configuration Okta.

Foreman : pour obtenir des informations de configuration, consultez Foreman : Guide SSO d'Okta.

Rybbon : pour obtenir des informations de configuration, consultez le guide de configuration de Rybbon (vous aurez besoin d'informations d'identification pour accéder à cette documentation).

Plug-in ADFS Okta, version 1.7.11

Cette version du plug-in contient des correctifs de bugs, des optimisations de sécurité et la prise en charge d'un domaine racine supplémentaire. Consultez l'historique des versions du plug-in ADFS Okta.

Okta MFA Credential Provider pour Windows, version 1.3.7

Cette version de l'agent contient des correctifs de bugs, des optimisations de sécurité et la prise en charge d'un domaine racine supplémentaire. Consultez l'historique d'Okta MFA Credential Provider pour Windows.

Validation PKCE pour l'intégration des applications OIDC

Vous pouvez désormais exiger une clé PKCE (Clé de preuve pour l'échange de code) en tant qu'étape de vérification supplémentaire pour toute intégration d'application OIDC, à l'exception des applications de service. Les bonnes pratiques de sécurité actuellement recommandées par OAuth sont d'utiliser la clé PKCE pour toutes les utilisations du flux de code d'autorisation, quel que soit le type de client. Consultez Créer des intégrations d'applications OIDC à l'aide de l'assistant d'intégration d'applications.

Validation et vérification des requêtes SAML signées

L'utilisation de requêtes SAML signées garantit que les requêtes entrantes proviennent d'applications authentiques. Dans cette configuration, Okta accepte uniquement les requêtes SAML signées qui utilisent le certificat associé à l'intégration d'application. Les requêtes SAML signées permettent aussi de résoudre les scénarios où l'URL ACS (Assertion Consumer Service) requise après l'authentification peut faire partie d'un ensemble de plusieurs domaines ou URL. Lorsqu'un fournisseur de services envoie une requête d'authentification signée, Okta peut accepter des valeurs ACS dynamiques dans la requête SAML. Okta publie la réponse de l'assertion SAML à la valeur ACS spécifiée dans la requête. Consultez la section Paramètres avancés de Créer des intégrations d'applications SAML à l'aide de l'assistant d'intégration d'applications.

Comptes d'application SWA partagés, restriction de mot de passe

Pour les applications SWA dont l'option de connexion au compte est définie sur Les utilisateurs partagent un nom d'utilisateur et un mot de passe uniques définis par l'administrateur, seuls les super administrateurs et les administrateurs d'application disposant des autorisations correspondantes peuvent consulter le mot de passe.

Assurance pour les appareils non gérés

Même si vous pouvez sécuriser l'accès aux ressources de votre entreprise à l'aide de l'authentification MFA sans mot de passe d'Okta FastPass, vous ne pouvez pas vous assurer du niveau de sécurité de l'appareil lui-même avant de lui accorder l'accès. C'est notamment le cas des appareils non gérés sur lesquels aucun agent de gestion complémentaire n'est présent pour valider leur statut de conformité. Avec les politiques d'assurance d'appareil, vous pouvez définir des exigences de niveau de sécurité que les appareils doivent respecter afin que leur utilisateur accède à une ressource protégée. Vous protégez ainsi les données et les services de votre organisation en n'accordant l'accès qu'aux appareils sécurisés, même s'ils ne sont pas gérés. Consultez Assurance d'appareil.

Ajout de la page Activité récente sur le nouveau tableau de bord d'utilisateur final Okta

La page Activité récente fournit aux utilisateurs finaux un résumé des événements de connexions et de sécurité récents pour leur compte Okta. Les utilisateurs finaux peuvent également signaler toute activité suspecte à leur administrateur Okta en cliquant sur Cette activité me semble suspecte. Consultez Activité récente.

Statut du domaine personnalisé

Dans Personnalisations > Domaine, un nouveau champ Statut indique si le domaine d'URL personnalisé est actif, en attente ou possède un certificat expiré. Consultez Personnaliser le domaine d'URL Okta.

Texte plus clair dans le Sign-In Widget

Sur la page Vérifiez avec votre e-mail du Sign-In Widget, les instructions indiquent désormais que l'utilisateur final doit cliquer sur le bouton d'action pour qu'Okta génère et envoie l'e-mail de vérification.

Modifications de l'interface utilisateur d'OIN Manager

OIN Manager inclut les mises à jour suivantes :

• L'interface utilisateur a été modifiée pour correspondre au style actuel d'Okta.
• Le logo Okta a été mis à jour.
• Une note indique la durée nécessaire pour traiter les nouvelles soumissions.

Erreur 403 pour non-respect des limites d'utilisation

Lorsqu'une organisation atteint sa limite d'utilisation opérationnelle pour les requêtes de SMS, l'erreur 403 Forbidden s'affiche au lieu de l'erreur 429 Too many requests. Consultez Configurer la limitation d'utilisation en fonction du client.

OKTA-482997

L'authentificateur personnalisé envoyait des notifications Push alors que l'option Envoyer automatiquement une notification Push n'était pas cochée.

OKTA-496347

Dans le widget Ajouter une personne, le champ du mot de passe était tronqué par erreur.

OKTA-499408

Sur la page Accès anticipé, le lien d'aide pour Mettre à jour automatiquement les agents Active Directory Okta redirigeait vers une rubrique obsolète.

OKTA-506480

Les e-mails de l'agent AD indiquaient à tort que les agents exécutant déjà la dernière version avaient été mis à jour automatiquement.

OKTA-515159

Lorsqu'un administrateur personnalisait un modèle d'e-mails qui n'était pas utilisé pour les processus de connexion, les variables app.id, app.name et app.label ne se résolvaient pas correctement.

OKTA-518347

Certains utilisateurs Org2Org avaient la même valeur ExternalID pour l'organisation cible.

OKTA-522912

Dans le Sign-In Widget, le texte impliquait que le code de vérification était envoyé dans un e-mail, mais qu'Okta n'avait pas encore généré cet e-mail.

OKTA-523033

L'inscription en ligne d'Authenticator supplémentaires demandait aux utilisateurs d'inscrire des Authenticator en fonction des paramètres de la stratégie de session globale.

OKTA-523140

Lorsque l'approvisionnement SalesForce était configuré avec OAuth, les profils de communautés SalesForce n'étaient pas affichés.

OKTA-523607

Les utilisateurs pouvaient se connecter par ADSSO après la désactivation de l'authentification déléguée.

OKTA-524632

Sur la page Affecter des personnes, la recherche d'utilisateurs renvoyait une erreur Invalid Search Criteria (Critère de recherche non valide) si l'adresse e-mail secondaire était marquée comme un attribut sensible.

OKTA-529018

Dans la stratégie d'authentification par défaut, la règle collectrice (catch-all) exigeait un mot de passe uniquement.

Correctifs d'intégration d'application

L'application SAML suivante ne fonctionnait pas correctement et a été corrigée :

Personnalisez Okta afin d‘utiliser le fournisseur de télécommunications de votre choix

Bien qu'Okta fournisse des fonctionnalités de téléphonie prêtes à l'emploi, de nombreux clients doivent intégrer leur fournisseur de télécommunications existant à Okta pour recevoir des SMS et des appels.

L'appel incorporé de téléphonie permet aux clients de générer des mots de passe à usage unique dans Okta, puis d'utiliser leur opérateur téléphonique existant pour transmettre les messages d'enrôlement/vérification de l'authentification MFA , de réinitialisation du mot de passe et de déverrouillage de compte par SMS ou appel vocal. Cela permet aux clients d'utiliser leur solution de téléphonie existante au sein d'Okta, en raison du temps qu'ils ont déjà passé dans cette solution, de la nécessité d'utiliser un opérateur régional spécifique ou simplement du souhait de conserver leur flexibilité. Consultez la page Personnaliser votre fournisseur de services téléphoniques.

Limites d'utilisation du jeton d'API configurables

Les administrateurs peuvent maintenant configurer un pourcentage de capacité de limite d'utilisation pour les jetons API individuels. Auparavant, lorsqu'une violation de la limite d'utilisation d'un jeton se produisait, il n'était pas facile de déterminer quel jeton consommait la limite. Définir une capacité maximale pour chaque jeton résout ce problème et donne aux administrateurs un nouvel outil pour enquêter sur les violations de la limite de débit et planifier les déploiements futurs. Consultez Gestion des jetons API.

OAuth REST SalesForce

Les administrateurs peuvent maintenant installer la dernière version de notre intégration SalesForce. OAuth sera désormais utilisé pour l'approvisionnement et les importations. Consultez Configurer l'intégration OAuth et REST.

Cette fonctionnalité est activée par défaut pour les organisations.

Outil de fusion pour les politiquees d'authentification en double

Les administrateurs peuvent simplifier la gestion des politique en fusionnant les politiques d'authentification en double. L'outil de fusion trouve les politiques d'authentification ayant les mêmes règles, regroupe leurs applications dans une seule politique, puis supprime les doublons. Une fois le processus automatisé exécuté, les administrateurs peuvent apporter des modifications et affecter des applications dans une seule politique. Consultez Fusionner les politiques dupliquées

Rôles d'administrateur personnalisés

Les rôles d'administrateur standard disponibles à l'heure actuelle ne permettent pas toujours de répondre à toutes les exigences de l'administration déléguée. Par conséquent, les administrateurs peuvent disposer de plus ou de moins de permissions que nécessaire.

Les rôles d'administrateur personnalisés donnent les possibilités suivantes aux super administrateurs :

• Créer des affectations d'administrateur avec des rôles précis, y compris des permissions spécifiques à des utilisateurs, groupes ou applications

• Limiter ces affectations d'administrateur à des ensembles de ressources

Utilisez les rôles d'administrateur personnalisés pour :

• augmenter la productivité des administrateurs ;

• décentraliser l'étendue de l'accès dont dispose un même administrateur ;

• accorder de l'autonomie à différentes unités commerciales pour l'autogestion.

Points importants à noter :

• La page Administrateurs est dotée d'une nouvelle interface plus intuitive pour les rôles de gestion et les permissions. Consultez À propos de la page Administrateurs.

• Vos rôles préexistants sont désignés comme des "rôles standard". La fonctionnalité de rôle standard est la même qu'auparavant, mais l'interface utilisateur a changé. Consultez Utiliser les rôles standard.

• Vous pouvez continuer à utiliser les mêmes rôles et vos affectations existantes restent inchangées.

• Vous pouvez également affecter des rôles personnalisés aux utilisateurs qui disposent déjà de rôles standard.

Consultez Rôles d'administrateur personnalisés et Bonnes pratiques pour créer une affectation de rôle personnalisée.

Affectation en masse des utilisateurs aux groupes

Les administrateurs peuvent désormais utiliser la fonctionnalité d'importation en masse pour affecter plusieurs utilisateurs à des groupes Okta spécifiques. L'importation en masse d'utilisateurs réduit considérablement le temps que les administrateurs passent à gérer les affectations de groupes d'utilisateurs. En outre, cette fonctionnalité permet aux organisations de grandes entreprises d'adopter plus facilement Okta comme fournisseur de gestion des accès. Consultez Affecter en bloc des personnes à un groupe.

Cette fonctionnalité sera progressivement mise à la disposition de toutes les organisations.

Améliorations de la page Groupes de la console administrateur Okta

La page Groupes de la console administrateur Okta a été mise à jour pour simplifier l'ajout d'un grand nombre d'utilisateurs à des groupes et réduire la probabilité que tous les utilisateurs puissent être accidentellement supprimés d'un groupe. En outre, la fonctionnalité de recherche a été considérablement améliorée pour rendre l'ajout et la suppression d'utilisateurs de groupes plus rapides et plus faciles. Consultez Gérer les groupes.

Cette fonctionnalité sera progressivement mise à la disposition de toutes les organisations.

Recherche avancée pour les utilisateurs et les groupes

Pour permettre aux administrateurs de localiser et de gérer rapidement les utilisateurs et les groupes, une fonctionnalité de recherche avancée des personnes et des groupes est désormais disponible. Les administrateurs peuvent limiter les résultats de la recherche à des critères spécifiques en utilisant le protocole SCIM pour l'interrogation. Ils peuvent également utiliser Créé le et Dernière mise à jour le dans leurs requêtes pour identifier la date de création ou de dernière modification des utilisateurs ou des groupes et rechercher des groupes et des utilisateurs à l'aide d'attributs de base et personnalisés. Ces options de recherche avancée optimisent les résultats de la recherche et permettent de réduire le temps passé à rechercher des informations spécifiques. Consulter Voir les membres du groupe.

Cette fonctionnalité sera progressivement mise à la disposition de toutes les organisations.

Trusted Origins pour l'intégration dans un iFrame

Vous pouvez maintenant choisir quelles origines peuvent intégrer les pages de connexion Okta et le tableau de bord d'utilisateur final Okta en utilisant Trusted Origins pour l'intégration iFrame. Cette fonctionnalité offre un contrôle granulaire sur l'intégration d'iFrame par rapport à l'option d'intégration existante dans la personnalisation, qui ne vous permet pas de faire la distinction entre les origines sécurisées et non sécurisées. Origines approuvées sous Sécurité > API vous permet de configurer de manière sélective les origines auxquelles vous faites confiance. Cette fonctionnalité offre également une sécurité renforcée car elle utilise une directive frame-ancestors plus sûre dans la stratégie de sécurité du contenu qui protège vos données contre les attaques Web telles que le clickjacking. Vous pouvez également migrer vos iFrames existants vers Origines approuvées. Consultez Origines approuvées pour l'intégration d'un iFrame.

Agent AD Okta, version 3.12.0

Cette version de l'agent contient les changements suivants :

• Amélioration de la journalisation des informations sur l'appartenance à un groupe

• Améliorations de sécurité

Voir Historique des versions d'Okta Active Directory Agent.

Agent du serveur RADIUS Okta, version 2.17.5

Cette version de l'agent contient des correctifs de sécurité et résout une fuite de mémoire qui se produisait lorsque les agents étaient configurés pour EAP-TTLS. Consultez l'historique de version Agent Okta RADIUS Server.

Agent de MFA local Okta, version 1.5.1

Cette version de l'agent contient des correctifs de sécurité. Consultez l'historique des versions de l'agent Okta On-Prem MFA.

Crochets d'événement pour la diffusion en flux continu des journaux

Afin de fournir une meilleure visibilité sur les changements d'état des flux de journaux Okta, les journaux d'événements relatifs à la gestion des flux de journaux, tels que la désactivation des flux, sont désormais éligibles pour les crochets d'événement. Les crochets d'événement vous permettent d'automatiser la détection et les réponses aux changements d'état d'un flux de journaux. Consultez Log Streaming.

Le tableau de bord des limites d'utilisation inclut les données des jetons API

Le tableau de bord Limites d'utilisation inclut désormais les données des jetons API sur le graphique Limite d'utilisation dans le temps. Vous pouvez afficher des données sous forme de graphique à barres à partir des jetons API ou par adresse IP pour examiner tout pic de trafic. Consultez Graphique à barres et Limites d'utilisation d'API par jeton.

Événements du journal système pour les actions de rapport CSV

Pour améliorer la sécurité et l'audit, le journal système enregistre désormais de nouveaux événements lorsque des CSV de rapports sont demandés, générés et téléchargés.

Mise à jour du journal système pour la politique d'authentification des applications

Les événements de mise à jour de la politique d'authentification incluent un nouveau champ DebugData avec des détails sur la façon dont la règle a été modifiée.

Mise à jour du journal système pour les opérations de téléphonie

L'événement system.operation.rate_limit.violation n'est plus déclenché lorsque les messages SMS ou vocaux sont bloqués en raison d'une violation de la limite d'utilisation opérationnelle de la téléphonie. À la place, les événements de téléphonie system.sms.send.* et system.voice.send.* sont émis sous la forme d'un message du journal système DENY.

Documentation Microsoft Azure Join

Une documentation d'aide est désormais disponible pour les utilisateurs intégrant Azure Join et Okta. Consultez Workflow classique pour l'intégration de Hybrid Azure AD Join.

L'agent AD ne se met à jour automatiquement que lorsqu'il est opérationnel

Le planificateur de mise à jour automatique des agents AD ne met plus automatiquement à jour les agents non opérationnels. Consultez Planifier les mises à jour automatiques des agents.

L' authentificateur YubiKey a été renommé

L'authentificateur YubiKey a été renommé YubiKey OTP. Consultez Configurer YubiKey OTP pour les mots de passe à usage unique.

Améliorations d'OIN Manager

Le contenu de l'e-mail automatisé envoyé lorsqu'une intégration a été déplacée vers le projet après une période d'inactivité a été mis à jour.

Allongement des clés secrètes générées par le serveur

Les clés secrètes générées par le serveur ont été allongées pour optimiser la sécurité. Ces clés permettent de générer des mots de passe à usage unique pour l'authentification multifacteur dans les environnements et organisations compatibles avec les normes FIPS.

Consultez la section Configurer les options d'Okta Verify.

Présentation de l'expérience d'inscription progressive

Lors du processus de connexion initial, la collecte des données de l'utilisateur final manque souvent de fluidité et génère des abandons. Avec la fonctionnalité d'inscription progressive, vous pouvez recueillir les informations minimales nécessaires pour créer un profil à l'utilisateur, puis compléter et enrichir ce profil au fil des opérations de connexion suivantes. Les administrateurs peuvent contrôler les informations collectées, valider les valeurs saisies et déclencher des crochets incorporés lors des flux d'enregistrement en libre-service et d'inscription progressive. Consultez Enregistrement de l'utilisateur final.

Synchronisation du mot de passe pour les utilisateurs provenant de LDAP

Lorsque les mots de passe des utilisateurs finaux provenant de LDAP sont réinitialisés dans Okta et que l'authentification déléguée LDAP est activée, le nouveau mot de passe est désormais immédiatement synchronisé avec les applications affectées à l'utilisateur pour lesquelles la synchronisation du mot de passe est configurée. Ce changement garantit que les mots de passe des utilisateurs restent à jour et réduit le risque qu'ils ne parviennent pas à accéder à leurs applications. Consultez Synchronisation des mots de passe d'application.

Configurer des stratégies d'authentification en fonction du fournisseur d'identité

Les administrateurs peuvent désormais configurer une stratégie d'authentification en fonction d'un fournisseur d'identité (IdP) particulier. Ils peuvent ainsi définir plus précisément l'IdP qui peut être utilisé pour obtenir une session Okta. Consulter Ajouter une règle de stratégie d'authentification.

Détails supplémentaires dans le Sign-In Widget

Dans le Sign-In Widget, la page Confirmez qu'il s'agit de vous avec une méthode de sécurité indique désormais si une méthode de sécurité est utilisée pour l'authentification, la récupération ou les deux.

Mémoriser mon dernier Authenticator MFA utilisé

Okta mémorise désormais tous les Authenticator MFA que l'utilisateur a employés lors de sa dernière connexion réussie. Lors des tentatives de connexion suivantes, le dernier Authenticator utilisé est sélectionné par défaut. Les utilisateurs peuvent toujours sélectionner un autre Authenticator en cliquant sur Vérifier avec une autre méthode.

Cette fonctionnalité sera progressivement mise à la disposition de toutes les organisations.

Capacité SSO pour les applications OIN

Les clients qui s'abonnent au package de services exclusivement MFA disposent désormais d'une fonctionnalité d'authentification unique (SSO) pour les applications du réseau d'intégration Okta (OIN).

Prise en charge des anciens ID de groupe d'utilisateurs

Les règles de validation ont été assouplies afin de prendre en charge les anciens formats d'ID pour les entités de groupes d'utilisateurs créées avant 2012.

Inscription de clé de sécurité FIDO2

Les administrateurs peuvent désormais inscrire une clé de sécurité FIDO2 pour le compte d'un utilisateur au nom de celui-ci depuis l'interface utilisateur Okta. Cela permet aux administrateurs de fournir des niveaux d'assistance supplémentaires au cas où un utilisateur ne serait pas en mesure de finaliser l'inscription lui-même. Consultez Configurer un Authenticator FIDO2 (WebAuthn).

Nouvelles conditions pour la règle collectrice

Dans les nouvelles stratégies d'authentification, la règle collectrice (catch-all) autorise désormais l'accès avec deux types de facteurs, quels qu'ils soient. Une nouvelle authentification est demandée au bout de 12 heures. Consultez Ajouter une règle de politique de session globale.

Conditions d'utilisation pour les développeurs OIN Manager

Les pages OIN Manager incluent désormais des liens vers les conditions générales pour les développeurs. Consultez Conditions d'utilisation pour les développeurs.

Ajout d'une règle de session globale avec la section Gestion de session

Une nouvelle section Session management (Gestion de session) est disponible lors de l'ajout ou de la modification d'une règle de stratégie de session globale.

Cette section inclut deux nouvelles options :

• Durée de vie maximale de la session Okta : configurez une limite de temps pour les sessions des utilisateurs.

• Cookies de persistance de session pour différentes sessions de navigateur : autorisez l'utilisateur à reprendre une session en rouvrant un navigateur fermé.

Ces options étaient précédemment disponibles via l'API Okta, mais elles peuvent désormais être configurées dans la console administrateur également.

Le paramètre La session expire aprèsa été renommé Clore la session lorsque l'utilisateur est inactif sur Okta pendant.

Plusieurs avertissements et descriptions supplémentaires apportent des clarifications sur la fonctionnalité des champs et la meilleure façon de les configurer.

Consultez Ajouter une règle de politique de session globale.

Événements user.session.start dans le journal système

Un événement du journal user.session.startsystème est lancé après des événements de connexion DelAuth réussie spécifiques à l'application.

Nouvelles conditions de politique par défaut

L'authentification par défaut accorde maintenant l'accès avec deux types de facteurs, quels qu'ils soient, et exige une nouvelle authentification au bout de 12 heures. Consulter Ajouter une règle de stratégie d'authentification.

Changement de nom de stratégie par défaut

Pour les nouvelles organisations et celles effectuant une mise à niveau, la politique d'authentification par défaut a été renommée 2 types de facteurs quels qu'ils soient. Cette stratégie accorde maintenant l'accès avec deux types de facteurs, quels qu'ils soient. Une nouvelle authentification est demandée au bout de 12 heures. Consultez Prédéfinir les politiques d'authentification.

Changements dans l'interface utilisateur du catalogue d'applications OIN

La section Langues prisesen charge a été supprimée de la page des détails de l'application.

OKTA-449159

Dans l'interface utilisateur Ajouter un fournisseur d'identité - Microsoft, le lien d'aide Portées Microsoft pointait vers une URL incorrecte.

OKTA-480772

Les utilisateurs provenant d'Active Directoy (AD) qui réinitialisaient leurs mots de passe dans AD devaient réitérer cette opération lorsqu'ils se connectaient à Okta avec IWA ou ADSSO.

OKTA-498957

Lors de la configuration de certificats de signature SAML pour une application SAML 2.0, les administrateurs ne pouvaient pas effectuer un clic droit pour copier le lien Métadonnées du fournisseur d'identité dans Admin Console.

OKTA-500367

Les propriétés uniques associées à des utilisateurs non existants n'étaient pas effacées si la validation de l'utilisateur échouait lors de sa création.

OKTA-502678

Pour les utilisateurs qui s'inscrivaient à Okta Verify sur plusieurs appareils et décochaient l'option Envoyer automatiquement une notification Push, aucune notification Push n'était envoyée lorsqu'ils sélectionnaient Recevoir une notification Push.

OKTA-506002

Étant donné que l'unicité nécessite des correspondances de valeur exactes, la création de propriétés de schéma uniques de type Number posait problème. Cette option n'est plus prise en charge. Utilisez les propriétés Integer ou String.

OKTA-507888

Dans le panneau Pages de Personnalisations > Image de marque, la configuration par défaut Okta s'affichait au lieu du thème sélectionné par l'organisation.

OKTA-509079

Sur la page Bienvenue, l'invite de rappel par SMS et l'invite d'image de sécurité ne s'affichaient pas pour les utilisateurs qui accédaient à Okta avec ADSSO en mode navigation privée.

OKTA-510254

Le formulaire d'inscription de profil ne permettait pas d'indiquer plus de 10 attributs autorisés.

OKTA-510483

Dans certains cas, une erreur se produisait lorsqu'un administrateur essayait de modifier un ensemble de ressources comportant une application supprimée.

Correctifs d'intégration d'application

Les applications SWA suivantes ne fonctionnaient pas correctement et sont désormais corrigées :

• GetFeedback (OKTA-505764)

• GoToWebinar (OKTA-502955)

• NordLayer (OKTA-505977)

Agent Hyperdrive, version 1.2.0

Avec l'authentification multifacteur, Okta fournit davantage de sécurité pour les flux cliniques ePCS (Ordonnances électroniques pour les substances contrôlées) lors de l'utilisation de la plateforme Epic Hyperspace. Ce plug-in est compatible avec les organisations Classic Engine et Identity Engine. Identity Engine ne prend pas en charge les flux cliniques EPCS pour les clients qui continuent d'utiliser la plateforme Epic Hyperspace obsolète. Consultez MFA pour Electronic Prescribing for Controlled Substances - Hyperdrive et l'historique des versions de l'agent Hyperdrive Okta.

Agent LDAP Okta, version 5.13.0

Cette version contient :

• Version mise à niveau d'Amazon Corretto

• Correctifs de sécurité

• Meilleure gestion des exceptions dans le fil d'interrogation

• Correctifs de bug

Cet agent sera progressivement mis à la disposition de toutes les organisations.

Consulter l'historique des versions de l'agent LDAP Okta.

Boîte à outils JIRA Authenticator, version 3.1.9

Cette version contient :

• Prise en charge de Jira 8.22.2

• Correctifs de bug

Consultez l'historique des versions de l'Authenticator Jira Okta.

Plug-in pour navigateur Okta, version 6.10.0

Cette version comprend les correctifs suivants :

• Certains éléments n'étaient pas accessibles dans la boîte de dialogue Modifier le mot de passe de l'Okta Browser Plugin.
• Le plug-in pour navigateur Okta affichait brièvement une invite lorsque les utilisateurs ouvraient les applications SWA depuis le tableau de bord.

Consultez Historique des versions du Okta Browser Plugin.

Exposition des groupes dans l'arborescence de répertoires de l'interface (DIT)

Afin de simplifier les décisions de contrôle des accès pour leur organisation, les administrateurs peuvent désormais sélectionner les groupes qu'ils souhaitent exposer dans l'arborescence de répertoires de l'interface (DIT). En plus des groupes Okta, les administrateurs ont désormais la possibilité d'afficher les groupes d'application importants pour leur organisation, y compris les groupes Active Directory (AD) et LDAP. Consultez Exposer des groupes d'applications dans l'arborescence de répertoires de l'interface LDAP.

Authenticator Symantec VIP disponible

L'Authenticator Symantec VIP est maintenant disponible dans Okta Identity Engine. Les entreprises qui vérifient l'identité de leurs utilisateurs avec Symantec VIP peuvent désormais intégrer cet Authenticator à leurs environnements Okta et s'en servir pour protéger l'accès à leurs organisations et applications Okta. Consultez Configurer l'Authenticator Symantec VIP.

Mot de passe comme Authenticator facultatif

Les mots de passe sont des Authenticator faibles pouvant créer des failles de sécurité. Actuellement, tous les utilisateurs doivent obligatoirement configurer un mot de passe. Cela nuit également à la fluidité du processus d'enregistrement en libre-service. Désormais, vous pouvez rendre les mots de passe facultatifs ou les supprimer complètement de l'expérience de connexion de vos utilisateurs. Supprimer le besoin de configurer un mot de passe permet d'accélérer le processus d'enregistrement. L'expérience de connexion est ainsi plus sécurisée, car les utilisateurs peuvent opter pour des Authenticator plus forts, comme ceux basés sur des possessions ou la biométrie. Okta vous offre la possibilité de configurer les flux sans mots de passe pour des groupes d'utilisateurs spécifiques de votre organisation. Vous pouvez ainsi déployer progressivement l'expérience pour l'ensemble de votre base d'utilisateurs. Consultez Configurer une expérience de connexion sans mot de passe.

Amélioration de l'expérience d'authentification via un lien magique par e-mail

Les liens magiques par e-mail ont été optimisés pour permettre aux utilisateurs finaux de s'authentifier dans deux contextes différents. La première option est de s'authentifier là où ils cliquent sur le lien, puis de revenir rapidement à l'application. L'autre option, si les utilisateurs cliquent sur le lien dans un navigateur différent, consiste à saisir un mot de passe à usage unique pour procéder à l'authentification. Auparavant, lorsqu'ils se connectaient à une application via un lien magique par e-mail, les utilisateurs finaux devaient revenir à l'emplacement d'origine du navigateur où ils avaient initié la tentative de connexion. Okta vérifie que les utilisateurs finaux peuvent bien prouver qu'ils sont propriétaires de l'onglet d'origine ainsi que de l'onglet dans lequel ils ont cliqué sur le lien magique par e-mail. Consultez Configurer l'authentificateur par e-mail et Se connecter aux ressources protégées par Okta.

Nouveaux événements dans le journal système

Deux nouveaux événements dans le journal système permettent de suivre le moment où un Authenticator est créé ou modifié :

• security.authenticator.lifecycle.create : cet événement est enregistré lorsqu'un administrateur crée un Authenticator pour l'organisation. Il permet d'identifier le nouvel Authenticator ainsi que la personne qui l'a créé. L'Acteur désigne l'utilisateur qui a créé l'Authenticator et la Cible indique le nom et l'ID de l'Authenticator. Cet événement peut également contenir des informations spécifiques à l'Authenticator.

• security.authenticator.lifecycle.update : cet événement est enregistré lorsqu'un administrateur met à jour un Authenticator pour l'organisation. Il permet d'identifier l'Authenticator ainsi que la personne qui l'a modifié. L'Acteur désigne l'utilisateur qui a modifié l'Authenticator et la Cible indique le nom et l'ID de l'Authenticator. Cet événement peut également contenir des informations spécifiques à l'Authenticator.

Événements du journal système pour le dépassement des limites d'utilisation téléphoniques

Les événements de téléphonie system.sms.send.* et system.voice.send.* comportent désormais un message DENY (Refuser) dans le journal DENYsystème lorsque les SMS ou les messages vocaux sont bloqués en raison du dépassement des limites d'utilisation téléphoniques opérationnelles. L'événement system.operation.rate_limit.violation est encore actif, mais sera abandonné dans la version 2022.08.0.

Voir Journal système.

Optimisation du connecteur IdP OIDC de base

Le fournisseur d'identité (IdP) OpenID Connect (OIDC) générique fournit une clé PKCE en tant que mécanisme de vérification supplémentaire. Vous pouvez également définir une expression régulière pour rechercher les noms d'utilisateur Okta lors de l'authentification via ce connecteur. Consultez Créer un fournisseur d'identité dans Okta.

Modifications de l'interface utilisateur d'OIN Manager

OIN Manager inclut les mises à jour suivantes :

• Le champ Catégories d'applications a été renommé Cas d'utilisation en cohérence avec le catalogue OIN.

• L'authentification unique est le cas d'utilisation par défaut.

Optimisation des demandes JWT

Pour les demandes JWT (Jeton Web JSON), la portion correspondant au nom accepte désormais le format URI, y compris la barre oblique et les deux-points. Tout nom comportant le signe deux-points doit être un URI.

Optimisation du journal système pour les types de crochets incorporés

Le type de crochet incorporé est désormais inclus dans les données de débogage pour un événement contextuel de débogage du journal système.

Noms uniques pour les rôles d'administrateur personnalisés

Lorsqu'un super administrateur crée un rôle d'administrateur personnalisé dont le nom est un doublon, le message d'erreur suivant s'affiche désormais : Ce nom de rôle d'administrateur existe déjà. Consultez Rôles d'administrateur personnalisés.

Amélioration du texte pour les contraintes de configuration de ressources

Sur les pages Créer un ensemble de ressources et Modifier l'ensemble de ressources, les étiquettes des options à cocher Tout limiter indiquent maintenant le type de ressource sélectionné. Par exemple : Limiter à tous les groupes. Consultez Travailler avec le composant de l'ensemble de ressources.

Nouvelle étiquette d'interface utilisateur

L'option à cocher Lié à un appareil sur le modal Règle d'ajout de stratégie d'authentification a été renommée Exclure les authentificateurs par téléphone et par e-mail. Consulter Ajouter une règle de stratégie d'authentification.

Détails supplémentaires dans le Sign-In Widget

Dans le Sign-In Widget, la page Confirmez qu'il s'agit de vous avec une méthode de sécurité indique désormais le nom de l'application sous chaque méthode de sécurité listée.

Modifications du texte d'aide dans l'interface utilisateur

Le texte d'aide des pages Fournisseur d'identité a été mis à jour conformément aux modifications apportées aux produits et améliore l'expérience utilisateur. Consultez Fournisseurs d'identité.

Mise à jour du modèle Activation d'un utilisateur

Les administrateurs peuvent désormais renseigner le champ fromURI dans le modèle d'e-mail Activation d'un utilisateur. Cela permet d'activer un utilisateur depuis n'importe quelle application OIDC dans l'organisation.

Mises à jour du menu d'aide

Dans le menu déroulant d'aide global, les liens d'aide ont été renommés et contiennent maintenant la description des ressources.

UI modifiée dans la stratégie de session globale

Dans l'interface utilisateur de la stratégie de session globale, les chaînes sur les exigences concernant les Authenticator ont été mises à jour. Consultez Ajouter une règle de politique de session globale.

Texte des conditions de stratégie modifié

Des éléments de l'authentification multifacteur ont été optimisés dans le modal Stratégie de session globale – Ajouter une règle afin d'améliorer l'expérience utilisateur. Consultez Ajouter une règle de politique de session globale.

OKTA-471339

La création d'une nouvelle intégration LDAP depuis le catalogue d'applications produisait une erreur Resource not found.

OKTA-479711

Lorsqu'un utilisateur ajouté ou supprimé d'un groupe disposait d'un rôle d'administrateur personnalisé, le journal système affichait un événement Grant user privilege (Accorder un droit à l'utilisateur).

OKTA-480925

Les administrateurs ne recevaient pas de notifications par e-mail rapidement lorsque l'accès des utilisateurs à leur compte était bloqué.

OKTA-482826

Certains utilisateurs importés depuis Active Directory étaient bloqués en mode mot de passe à usage unique s'ils étaient activés plus d'une fois.

OKTA-488912

Lorsqu'un super administrateur recherchait un groupe sur la page Modifier les ressources en fonction d'un rôle standard, les résultats de recherche ne s'affichaient pas tant que l'administrateur ne saisissait pas au moins trois caractères.

OKTA-489049

Lorsque les administrateurs cliquaient sur l'onglet Tâches du tableau de bord d'utilisateur final, le chargement de la page était trop long et le navigateur Web ne répondait plus si le nombre de droits était trop grand.

OKTA-491194

La suppression d'un attribut personnalisé créait une tâche dont le délai expirait systématiquement pour les organisations comportant un grand nombre d'utilisateurs.

OKTA-491583

Lors de l'utilisation d'une application OIDC avec des jetons d'actualisation, les clients pouvaient obtenir un jeton d'accès via un jeton d'actualisation existant si le consentement de l'utilisateur à la portée offline_access était révoqué.

OKTA-493059

Les administrateurs ne pouvaient pas ajouter les chaînes de certificat sous forme d'arborescence.

OKTA-493075

Le rapport Affectations des rôles d'administrateur contenait parfois des enregistrements en double.

OKTA-493119

Certains utilisateurs qui tentaient de se connecter via un fournisseur d'identité externe recevaient une erreur liée aux limites d'utilisation et ne pouvaient pas revenir à la page de connexion.

OKTA-496025

Un point d'interrogation manquait dans la boîte de dialogue Supprimer de l'interface LDAP.

OKTA-497934

Le point de terminaison de recherche de groupe n'affichait pas la dernière mise à jour des appartenances au groupe.

OKTA-498383

Certains administrateurs disposant d'un accès en lecture seule pouvaient modifier les affectations d'une stratégie.

OKTA-501623

Les mises à jour et désactivations simultanées d'un profil utilisateur pouvaient engendrer un statut Désactivation permanent pour l'utilisateur.

OKTA-501729

Lorsqu'un administrateur créait un utilisateur pour lequel l'option L'utilisateur doit modifier le mot de passe lors de la première connexion était sélectionnée, le statut de l'utilisateur était configuré par erreur sur Actif au lieu de Mot de passe expiré.

OKTA-502404

Les utilisateurs ne pouvaient pas se connecter temporairement si le sous-domaine de leur organisation avait changé.

OKTA-502620

Dans Affecter des personnes, les utilisateurs qui avaient été supprimés du groupe des personnes autorisées restaient disponibles.

OKTA-503017

Sur la page Inscription de profil, les administrateurs pouvaient supprimer la stratégie par défaut. Après actualisation de la page, la stratégie d'inscription de profil par défaut était restaurée, mais toute tentative de modifier cette stratégie menait à une page vierge.

OKTA-503377

Les utilisateurs pouvaient utiliser ADSSO pour se connecter à Okta alors que l'authentification déléguée était désactivée.

OKTA-503378

Les utilisateurs pouvaient continuer à utiliser l'agent IWA Web Okta pour se connecter à Okta alors que l'authentification déléguée était désactivée.

OKTA-503715

Les valeurs de hachage et les tailles de page affichées sur la page Téléchargements des programmes d'installation RADIUS Linux étaient incorrectes.

OKTA-505960H

Les administrateurs qui cliquaient sur le lien Ressources > Centre d'aidede la console administrateur n'étaient pas automatiquement connectés au Centre d'aide Okta.

Agent AD Okta, version 3.11.0

Cette version de l'agent contient les changements suivants :

• Prise en charge de .NET à partir de la version 4.6.2 (installation annulée si le programme d'installation ne détecte pas .NET 4.6.2 ou une version ultérieure)

• Optimisations de sécurité

• Suppression des bibliothèques non prises en charge

Voir Historique des versions d'Okta Active Directory Agent.

Plug-in ADFS Okta, version 1.7.10

Cette version du plug-in contient des correctifs de bugs et des optimisations de sécurité. Consultez l'historique des versions du plug-in ADFS Okta.

Agent RADIUS Okta, version 2.17.4

Cette version de l'agent contient des correctifs de bugs et des optimisations de sécurité. Consultez historique de version Agent Okta RADIUS Server.

Agent MFA sur site Okta, version 1.5.0

Cette version de l'agent contient des optimisations de sécurité. Consultez l'historique des versions de l'agent Okta On-Prem MFA.

Authenticator Jira, version 3.1.8

Cette version contient des correctifs de bugs. Consultez l'historique des versions de l'Authenticator Jira Okta.

Accès au Centre de ressources Okta

Le Centre de ressources Okta regroupe des présentations de produits, des guides détaillés et des annonces pour vous aider à prendre connaissance des nouvelles fonctionnalités et savoir comment effectuer des tâches dans la console administrateur. Pour lancer le Centre de ressources Okta, vous pouvez cliquer sur l'icône bleue n'importe où dans la console administrateur. Consultez Centre de ressources Okta.

Okta MFA pour l'accès conditionnel Azure AD et l'inscription à Windows Hello for Business

Avec l'authentification multifacteur (MFA) Okta, vous pouvez :

• répondre aux exigences MFA de l'accès conditionnel Azure Active Directory pour votre instance d'application Office 365 fédérée ;
• inscrire les utilisateurs finaux à Windows Hello for Business.

Consultez Utiliser la MFA Okta pour répondre aux exigences de la MFA Azure AD pour Office 365.

Optimisations du Sign-In Widget pour la réinitialisation de mot de passe en libre-service et la page d'enregistrement par défaut

Okta a activé la fonction de réinitialisation de mot de passe en libre-service pour l'autorisation intégrée dans toutes les organisations Identity Engine nouvelles ou mises à niveau. Pour les intégrations utilisant l'authentification intégrée, les applications client peuvent désormais utiliser un jeton de récupération lors du lancement du Sign-In Widget pour démarrer le flux de récupération. De plus, un nouveau point de terminaison accessible via /{orgurl}/signin/registervous permet de pointer votre Sign-In Widget directement vers la page d'enregistrement pour les applications par défaut.

Rotation des clés secrètes et gestion des clés JWK

Il est difficile d'effectuer la rotation des clés secrètes client sans interrompre le service ou l'application. Quant à la gestion de la clé Web JSON (JWK), elle peut s'avérer fastidieuse. Pour obtenir un processus fluide de rotation de clé secrète client et améliorer la gestion des clés JWK, vous pouvez désormais configurer le chevauchement des clés secrètes client et gérer les paires de clés JWK dans la console administrateur. Vous pouvez également créer des paires de clés JWK depuis la console administrateur sans utiliser d'outil externe. Consultez Gérer les clés secrètes et les clés pour les applications OIDC.

Vérification PIV

La vérification de l'identité personnelle (PIV) est désormais prise en charge avec Okta Identity Engine. Consultez Ajouter un IdP par carte à puce.

Accès de l'API Okta avec OAuth 2.0 pour Org2Org

Auparavant, l'intégration Org2Org ne prenait en charge que l'accès basé sur les jetons à l'API Okta. Vous pouvez maintenant configurer l'intégration Org2Org pour accéder à l'API Okta en tant que client OAuth 2.0. Cela renforce la sécurité en limitant la portée de l'accès et en fournissant un meilleur mécanisme de rotation des informations d'identification. Voir Intégrer Okta Org2Org à Okta.

Liens d'aide personnalisés dans le Sign-In Widget

Les administrateurs peuvent ajouter un lien d'aide personnalisé sur la page Authenticator du Sign-In Widget. Ce lien peut fournir une aide ponctuelle pour l'authentification multifacteur et pointer vers une ressource interne ou un autre emplacement.

Clé PKCE pour la vérification des intégrations d'application natives et monopage OIDC

L'assistant d'intégration d'application OIDC identifie désormais la clé PKCE comme n'étant pas une méthode d'authentification client. Pour les applications monopages et natives, l'assistant crée des applications répertoriant la clé PKCE en tant que méthode de vérification. Consultez Créer des intégrations d'applications OIDC à l'aide de l'assistant d'intégration d'applications.

Autorisations relatives aux agents dans les rôles d'administrateur personnalisés

Les administrateurs personnalisés peuvent effectuer des mises à jour automatiques de l'agent AD pour les instances AD auxquelles ils ont accès. Ils peuvent également afficher la page Agents du tableau de bord pour consulter le statut de tous les agents associés aux instances d'application qu'ils sont autorisés à gérer. Consultez Mise à jour automatique des agents Okta.

Info-bulle pour le nombre de groupes dans le tableau de bord administrateur

Dans le tableau de bord administrateur, la section Aperçu fournit maintenant une info-bulle expliquant que le nombre de Groupes indiqué n'inclut que les groupes provenant d'Okta et exclut ceux provenant d'une autre source, comme les groupes AD. Cette info-bulle vous permet de comprendre comment vos groupes sont comptabilisés. Vous pouvez l'afficher en pointant sur le nombre de Groupes dans la section Aperçu. Consultez Consulter la vue d'ensemble de votre organisation.

Optimisation du tableau de bord de l'utilisateur final Okta

• Les notifications non lues sont plus visibles des utilisateurs.

• La fonction d'Aperçu du tableau de bord de l'utilisateur final a été déplacée dans une boîte de dialogue distincte. Consultez Prévisualiser un tableau de bord de l'utilisateur final.

• Le lien Dernière connexion en bas du tableau de bord de l'utilisateur final Okta inclut désormais l'intégralité du message dans l'hyperlien.

• Le titre de la boîte de dialogue Copier le mot de passe dans le tableau de bord de l'utilisateur final Okta est plus spécifique

Optimisation du journal système pour les événements de blocage de zones

• L'événement zone.make_blacklist du journal système concerne désormais deux actions : lorsqu'un administrateur crée une zone réseau bloquée et lorsqu'un administrateur débloque une zone bloquée existante. Auparavant, cet événement était uniquement enregistré lorsqu'une zone réseau existante était convertie en liste rouge.

• L'événement zone.remove_blacklistdu journal système concerne désormais deux actions : lorsqu'une zone réseau est convertie en liste d'autorisation et lorsqu'un administrateur supprime une zone bloquée. Auparavant, cet événement était uniquement enregistré lorsqu'une zone réseau existante était convertie en liste d'autorisation.

Optimisation du journal système pour les événements de zone réseau

Un ID de zone réseau est désormais ajouté en tant que cible pour tous les événements de zone réseau du journal système.

Optimisation de ThreatInsight

ThreatInsight a été amélioré pour mieux protéger la consommation des limites d'utilisation contre les acteurs malveillants. Les demandes provenant des acteurs dont le niveau de menace est élevé sont toujours enregistrées et/ou bloquées selon la configuration de l'organisation. En revanche, les demandes supplémentaires qui semblent malveillantes, mais comportent un niveau de menace plus bas, ne sont plus comptabilisées dans les limites d'utilisation de l'organisation.

Optimisation de la validation MFA dans les stratégies d'authentification

Lors de la création de stratégies d'authentification, les administrateurs peuvent uniquement sélectionner des Authenticator qui sont activés dans leur organisation et disponibles pour le groupe d'utilisateurs associé.

Optimisation du catalogue OIN

Les intégrations du catalogue OIN aident les utilisateurs finaux à résoudre des problèmes concernant différents secteurs. Okta a ajouté la possibilité de filtrer les intégrations par secteur d'activité afin d'aider les utilisateurs Okta actuels et potentiels à identifier les intégrations qui correspondent le mieux à leurs besoins. De plus, les modifications suivantes ont été apportées à l'interface du catalogue OIN afin d'optimiser la navigation :

• L'interface de recherche a été mise à jour et les termes de recherche populaires peuvent désormais être sélectionnés.

• Les pages de détails des intégrations ont été mises à jour pour les rendre plus faciles à utiliser.

• Des fils d'Ariane de navigation ont été ajoutés au catalogue OIN.

• Les intégrations peuvent maintenant être triées par ordre d'alphabétique et par ajout le plus récent.

Consultez Ajouter des intégrations d'application existantes.

Fonctionnalité de recherche et mise à jour des filtres dans le catalogue OIN

• Les résultats de recherche du catalogue OIN donnent désormais la priorité aux correspondances avec les mots complets à partir des termes de recherche.

• Les intégrations du catalogue OIN peuvent désormais être filtrées par fonctionnalité RADIUS.

Consultez Ajouter des intégrations d'application existantes.

Améliorations d'OIN Manager

OIN Manager exige désormais que les soumissions ISV confirment que le délai de réponse d'API requis soit respecté pour les intégrations SCIM. Consultez Publier une intégration OIN.

OKTA-386570

En cas d'échec d'une requête de liaison à l'interface LDAP, les recherches qui en dépendent échouaient en affichant une erreur de serveur interne au lieu d'une erreur de permission refusée.

OKTA-435855

Les intégrations Web et SPA créées à l'aide d'un type d'autorisation Code d'autorisation ou Code d'interaction renvoyaient une erreur si l'option Connexion initiée par Okta ou l'application était sélectionnée.

OKTA-476570

Le journal système n'affichait pas le nom de l'application lorsque des utilisateurs saisissaient des informations d'identification non valides lors d'un flux initié par le fournisseur de service.

OKTA-476896

Sur la page Administrateurs, les utilisateurs désactivés disposant de rôles d'administrateur étaient comptabilisés dans Affectation individuelle.

OKTA-477494

Certaines expressions EL non valides étaient validées par erreur.

OKTA-477634

Certains utilisateurs subissaient des délais lors de la recherche d'une application dans le tableau de bord de l'utilisateur final Okta.

OKTA-481752

Lorsque des utilisateurs essayaient de s'inscrire à Okta Verify, le lecteur d'écran VoiceOver ne mettait pas correctement en avant le type d'appareil mobile et ne permettait pas aux utilisateurs de sélectionner un appareil. Il sélectionnait également l'option iPhone même si l'option Android était également disponible.

OKTA-482266

Lors des authentifications PIV pour lesquelles aucun certificat n'était fourni ou le certificat était arrivé à expiration, une erreur 404 s'affichait.

OKTA-482435

Lorsque des administrateurs passaient une application à SAML 2.0, les instructions de configuration SAML 2.0 utilisaient le certificat portant sur l'organisation au lieu du certificat portant sur l'application.

OKTA-483062

Les pages d'erreur personnalisées pour l'accès aux applications redirigeaient vers la page d'erreur Okta par défaut.

OKTA-484366

Les administrateurs ne pouvaient pas utiliser l'attribut objectGuid en tant qu'identifiant unique lors de l'intégration de serveurs AD LDS LDAP avec Okta.

OKTA-486141

Si un crochet incorporé était enregistré et utilisé dans le cadre d'une stratégie d'inscription de profil, les administrateurs pouvaient le désactiver ou le supprimer. Une erreur se produisait ensuite lorsqu'une stratégie était utilisée pour l'enregistrement en libre-service.

OKTA-486974

Un ID interne apparaissait par erreur dans un événement de stratégie du journal système.

OKTA-488233

Des requêtes JIT parallèles pour le même nom d'utilisateur créaient des utilisateurs en double.

OKTA-488234

La page de connexion ne se chargeait pas correctement pour certaines organisations après leur passage à Identity Engine.

OKTA-488428

Certains utilisateurs perdaient la possibilité d'afficher des mots de passe pour une application lorsque la fonctionnalité de tiroir d'applications était activée.

OKTA-488663

Lorsque Éditeur de code complet était activé, l'option de plein écran sur l'éditeur de code des pages d'erreur n'était pas remplacée par une icône pour réduire l'écran.

OKTA-489050

Un message d'erreur s'affichait parfois alors que des administrateurs regardaient des applications dans la console administrateur.

OKTA-489448

Dans les flux initiés par le fournisseur de services, le format du message indiquant aux utilisateurs de créer leurs comptes était incorrect.

OKTA-490811

Lorsqu'un appareil désinscrit tentait d'accéder à une application qui devait être gérée, la requête de connexion n'échouait pas correctement.

OKTA-491164

Certains administrateurs n'étaient pas affectés à la console administrateur lorsqu'ils étaient ajoutés à un groupe avec des rôles d'administrateur affectés.

OKTA-491264

Dans certains cas, lorsqu'un super administrateur supprimait un rôle d'administrateur personnalisé qui contenait des notifications par e-mail, les administrateurs ne pouvaient plus mettre à jour leurs paramètres de notifications par e-mail.

OKTA-495549

Lorsque des groupes étaient exposés dans l'arborescence de répertoire de l'interface LDAP, certains filtres référençant l'attribut entryDn renvoyaient le code de résultat incorrect si le groupe n'était pas détecté.

OKTA-495598

Les utilisateurs provenant d'Active Directoy (AD) qui réinitialisaient leurs mots de passe dans AD devaient réitérer cette opération lorsqu'ils se connectaient à Okta avec IWA ou ADSSO.

Correctif d'intégration d'application

L'application SWA suivante ne fonctionnait pas correctement et a été corrigée :

Agent MFA sur site Okta, version 1.4.9

Cette version de l'agent contient des optimisations de sécurité. Consultez l'historique des versions de l'agent Okta On-Prem MFA.

Plug-in pour navigateur Okta, version 6.9.0 pour tous les navigateurs

Cette version comprend les changements suivants :

• La navigation au clavier ne fonctionnait pas correctement lorsque les utilisateurs tentaient de passer à une nouvelle liste d'applications dans le pop-up du plug-in. Les utilisateurs ne pouvaient pas fermer la fenêtre contextuelle par saisie au clavier.
• La version 6.8.0 du plug-in causait des problèmes pour certains utilisateurs lorsqu'ils tentaient de se connecter à une application SWA dans un iframe.

Consultez Historique des versions du plug-in Okta pour navigateur.

Suppression de l'option Admin Experience Redesign (Refonte de l'expérience d'administration)

L'option qui permettait aux super administrateurs de passer de la nouvelle à l'ancienne version de l'expérience d'administration, ou vice-versa, a été supprimée. Tous les administrateurs Okta bénéficient désormais du nouveau tableau de bord administrateur Okta, de la barre latérale de navigation réactive et de l'interface modernisée.

Autoriser ou refuser les clients personnalisés dans la stratégie d'authentification Office 365

Vous pouvez filtrer des clients spécifiques dans une règle d'authentification à l'application Office 365 afin de leur autoriser ou de leur refuser l'accès aux ressources Office 365. Ce filtre peut être utilisé pour refuser l'accès aux clients non approuvés ou pour autoriser uniquement les clients approuvés. Voir Autoriser ou refuser les clients personnalisés dans la politique d'authentification d'Office 365.

Intégrations des points de terminaison

La page Intégrations d'appareils inclut maintenant un onglet Sécurité des points de terminaison qui permet aux administrateurs de gérer les intégrations de points de terminaison avec le Centre de sécurité Windows et CrowdStrike. L'intégration Endpoint Detection and Response (EDR, détection des menaces et réponse sur les points de terminaison) étend l'évaluation du niveau de sécurité de l'appareil en permettant à Okta Verify de capturer les signaux collectés par votre client EDR en cours d'exécution sur le même appareil. Consultez Intégrations de sécurité relatives au point de terminaison.

Optimisation d'Okta FastPass

Avec Okta FastPass, une erreur s'affiche désormais dans le Sign-In Widget si la vérification d'utilisateur n'est pas fournie alors qu'elle est obligatoire.

Synchronisation améliorée des appartenances de groupe AD

Le champ de nom distinctif ADAppUser est maintenant mis à jour lorsqu'un utilisateur est ajouté à un groupe Okta et qu'un groupe correspondant existe dans Active Directory (AD). Lorsque la requête d'approvisionnement Okta déplace un utilisateur vers une nouvelle unité organisationnelle, le changement est rapidement dupliqué dans AD. Cette nouvelle fonctionnalité vous aide à garantir l'exactitude et l'intégrité des informations d'appartenance de groupe AD. Gérer les utilisateurs et les groupes Active Directory.

Nouveau tiroir d'applications

La mise à jour des paramètres d'application du tableau de bord de l'utilisateur final Okta permet aux utilisateurs finaux d'afficher tous les détails d'application dans une même vue, sans devoir développer plusieurs sections. Ils peuvent différencier rapidement les applications SWA pour lesquelles ils ont défini un nom d'utilisateur et un mot de passe, et les applications SAML/OIDC qui sont gérées par les administrateurs sans paramètres utilisateur supplémentaires. La mise à jour du panneau des paramètres d'application apporte des améliorations d'accessibilité avec une meilleure prise en charge des lecteurs d'écran et un contraste de couleurs renforcé. Consultez Afficher la page des paramètres d'application.

OAuth REST ShareFile

Les administrateurs peuvent désormais passer à la dernière version de notre intégration ShareFile. OAuth fournit une authentification plus sécurisée et peut désormais être utilisé pour l'approvisionnement et les importations. Consultez Configurer l'intégration OAuth et REST ShareFile. Cette fonctionnalité est mise à la disposition de toutes les organisations.

Lien vers la page Activité récente pour les utilisateurs finaux

Si l'option Activité récente est activée, les utilisateurs peuvent cliquer sur Dernière connexion dans le pied de page de la barre de navigation de gauche pour accéder directement à la page Activité récente.

Surplus d'activité disponibles dans le tableau de bord des limites d'utilisation

Le tableau de bord des limites d'utilisation disponible depuis la console administrateur indique désormais, en plus des avertissements et des violations, les données concernant les limites des surplus d'activité dans votre organisation Okta. Le tableau de bord des violations a été renommé Événements afin de prendre en compte les nouveaux éléments inclus, et permet de filtrer en fonction de la chronologie ainsi que du type d'événement (avertissement, surplus d'activité ou violation). En pointant sur les surplus d'activité dans le graphique, vous obtenez des détails supplémentaires et des liens vers les appels des points de terminaison individuels dans le journal système. Les graphiques Utilisation donnent des détails sur les surplus d'activité pour une API particulière. Consultez Tableau de bord des limites d'utilisation et Limites de surplus d'activité.

Nouvelle action d'application forcée ThreatInsight

Si vous configurez ThreatInsight pour consigner et appliquer des mesures de sécurité en fonction du niveau de menace détecté, ThreatInsight peut limiter ou bloquer les requêtes d'authentification provenant d'adresses IP suspectes. Par exemple, si une adresse IP suspectée d'activités malveillantes possède un niveau de menace faible, les requêtes d'authentification provenant de cette adresse IP ne sont pas refusées, mais peuvent faire l'objet de limites d'utilisation. Voir Configurer Okta ThreatInsight.

Mappage de profils utilisateur pour les IdP PIV

Vous pouvez désormais utiliser idpuser.subjectUid dans un profil utilisateur Okta lorsque vous mappez un nom d'utilisateur d'IdP pour les IdP de vérification de l'identité personnelle. Consultez Ajouter un fournisseur d'identité par carte intelligente.

Mise à jour de la stratégie par défaut

La politique de session globale et la politique d'authentification accordent maintenant l'accès aux utilisateurs avec deux facteurs, quels qu'ils soient. Consultez Politiques de session globale.

Règle par défaut de la stratégie de session globale

Les administrateurs peuvent désormais modifier la condition de facteur principal dans la règle par défaut de la stratégie de session globale par défaut de leur organisation. Consultez Créer une politique de session globale.

Aperçu des logos d'application personnalisés

Les administrateurs peuvent désormais prévisualiser un logo personnalisé avant de l'ajouter à une application. Consultez Personnaliser un logo d'application.

Mise à jour du message d'erreur pour l'API Microsoft Graph

Un message d'erreur pour l'API Microsoft Graph a été mis à jour pour inclure plus de détails ainsi qu'une solution possible.

Journalisation du débogage pour l'échange de jeton

Les champs suivants ont été ajoutés au journal système pour les événements d'assistance au débogage de l'échange de jeton OAuth2 :

• requested_token_type
• subject_token_type
• actor_token_type
• resource

Mise à jour des instructions de configuration SAML

Les instructions de configuration pour les applications SAML 2.0 utilisent désormais un certificat SHA2 par application lors de la création de l'application.

OKTA-442031

Certains flux de connexion Okta Mobile ne fonctionnaient pas pour les administrateurs lorsque l'application Okta Admin Console exigeait une authentification supplémentaire.

OKTA-456484

Lorsque plus d'un Authenticator apparaissait sur la page d'inscription d'Authenticator, le lien Retour à la liste d'Authenticator n'apparaissait pas.

OKTA-460284

Les importations Litmos SAP échouaient avec une erreur inattendue.

OKTA-467278

Si une erreur se produisait dans Okta Verify lors de l'authentification ou si celle-ci était annulée, un délai se produisait avant que l'utilisateur soit de nouveau invité à sélectionner une méthode de sécurité.

OKTA-472816

Lorsque les administrateurs d'application sélectionnaient l'onglet Agents, le message d'erreur « Erreur lors du rendu de la table de moniteurs d'agents » s'affichait et aucun agent n'était listé.

OKTA-473180

Dans certains cas, AssertionId pour les assertions SAML 1.1 était mal formaté.

OKTA-475767

Dans la colonne Description de la page Groupes, un signe égal (=) remplaçait parfois la barre oblique (/) dans les noms de groupes provenant de LDAP.

OKTA-475774

Les utilisateurs pouvaient utiliser ADSSO pour se connecter à Okta alors que l'authentification déléguée était désactivée.

OKTA-478467

Les administrateurs qui n'avaient pas l'autorisation de voir la page Moniteurs d'agents recevaient les notifications par e-mail de mise à jour automatique.

OKTA-478537

Lorsque les administrateurs recherchaient une stratégie d'authentification, seules les 100 premières stratégies étaient visibles. Cela se produisait sur la page Applications et la page Politiques d'authentification .

OKTA-479110

L'adresse e-mail de l'expéditeur sur la page Personnalisations > E-mails était différente de celle indiquée dans les modèles individuels.

OKTA-479701

Des administrateurs apparaissaient dans des événements sans lien avec leur compte dans la section Événements de sécurité de la page Activité récente.

OKTA-482086

Certains administrateurs voyaient une erreur s'afficher s'ils essayaient d'exécuter un rapport à l'aide d'ensembles de ressources créés plus d'un an auparavant.

OKTA-483011

Dans certains cas, les authentifications de l'agent IWA Okta échouaient lors du déploiement lorsque la détection d'attaques par rejeu IWA était activée.

Correctifs d'intégration d'applications

Les applications SWA suivantes ne fonctionnaient pas correctement et sont désormais corrigées :

• MyFonts (OKTA-476809)

• Quickbooks Time Tracker (OKTA-476695)

Agent Okta Active Directory Password Sync, version 1.5.0

Cette version de l'agent inclut les modifications suivantes :

• Améliorations de sécurité.

• Prise en charge de .NET Framework à partir de la version 4.6.2. (mise à niveau automatique des versions antérieures lors de l'installation de l'agent)

• Prise en charge d'Okta Military Cloud

Consultez Historique des versions de l'agent Active Directory Password Sync.

Agent Okta AD, version 3.10.0

Cette version de l'agent contient les améliorations suivantes :

• Prise en charge d'Okta Military Cloud

• Correctifs de bugs

Voir Historique des versions d'Okta Active Directory Agent.

Agent Okta LDAP, version 5.12.0

Cette version de l'agent contient la prise en charge d'Okta Military Cloud. Consulter l'historique des versions de l'agent LDAP Okta.

Crochets d'événement pour les rôles d'administrateur personnalisés

Les événements de rôles d'administrateur personnalisés sont maintenant disponibles sous forme de crochets d'événements. Cela renforce la sécurité pour les administrateurs en garantissant qu'ils disposent de la bonne permission pour effectuer des tâches. Consultez Crochets d'événement.

Mode Forcer la limite et la journalisation par client pour les points de terminaison OAuth 2.0 /authorize et /login/login.htm

Pour les points de terminaison OAuth 2.0 /authorize et /login/login.htm, la limite d'utilisation basée sur le client par défaut a été renforcée avec le mode Forcer la limite et la journalisation par client (recommandé). Cela signifie que si la limite d'utilisation basée sur le client de votre organisation était configurée sur Ne rien faire ou Journalisation par client, elle passe maintenant en mode Forcer la limite et la journalisation par client (recommandé).

Notez que, d'après la communication envoyée par e-mail le 3 février 2022 et le 25 février 2022, ces changements ne peuvent pas s'appliquer à certaines organisations. Consultez Changement du mode de limite d'utilisation basée sur le client par défaut.

Nouvelle option d'application forcée ThreatInsight

ThreatInsight évalue les requêtes d'authentification pour détecter les activités potentiellement malveillantes provenant d'adresses IP au comportement suspect. Si vous activez l'option Consigner et appliquer des mesures de sécurité en fonction du niveau de menace, ThreatInsight peut limiter ou bloquer les requêtes d'authentification provenant d'adresses IP suspectes en fonction du niveau de menace détecté. Par exemple, si une adresse IP suspectée d'activités malveillantes possède un niveau de menace faible, les requêtes d'authentification provenant de cette adresse IP ne sont pas refusées, mais peuvent faire l'objet de limites d'utilisation. La limite d'utilisation permet de garantir que les requêtes provenant d'une adresse IP suspecte ne surchargent pas les services d'authentification, évitant ainsi de perturber le trafic légitime. Toutefois, si une adresse IP est suspectée d'activité malveillante et que le niveau de menace détecté est élevé, les requêtes d'authentification provenant de l'adresse IP sont bloquées. Voir Configurer Okta ThreatInsight.

Validation pour les modèles de message personnalisés

Si vous personnalisez le modèle de SMS par défaut, la console administrateur détermine si le message contient des caractères GSM ou non GSM, et met en œuvre la limite de caractères adéquate avant d'enregistrer le SMS. Cette vérification vous assure de ne pas créer de SMS personnalisés qui dépassent la limite de caractères GSM ou non GSM pour les segments de message.

Si vous modifiez des modèles existants, les nouvelles restrictions s'appliquent à vos messages contenant des caractères non GSM.

Pour en savoir plus sur la personnalisation des modèles de SMS, consultez Configurer et utiliser la téléphonie.

Mises à jour du Sign-In Widget pour Okta FastPass

Le bouton Connexion avec Okta FastPass ne s'affiche plus dans le Sign-In Widget lorsque les utilisateurs accèdent aux applications natives Android qui utilisent WebView. WebView n'est pas compatible avec cette fonctionnalité.

Mises à jour des boutons Copier

Dans le panneau des paramètres d'application du tableau de bord d'utilisateur final Okta, les boutons Copier pour les champs nom d'utilisateur et mot de passe ont été renommés respectivement Copier le nom d'utilisateur et Copier le mot de passe.

OKTA-419847

Les jetons d'API MFA sur site disposaient d'une portée excessive pour les besoins opérationnels de l'agent.

OKTA-433751

Les utilisateurs finaux recevaient des erreurs lors de l'accès aux applications SWA via le tableau de bord de l'utilisateur final Okta si leurs mots de passe d'application contenaient des esperluettes.

OKTA-436486

Certaines organisations ne pouvaient pas enregistrer de modèles d'e-mail contenant des variables Velocity. Ce problème affectait les organisations pour lesquelles l'option Macros d'e-mail améliorées était activée.

OKTA-442296

Certains utilisateurs finaux recevaient une erreur 400 après s'être connectés au tableau Okta End-User Dashboard.

OKTA-443777

Les administrateurs ne pouvaient pas utiliser l'attribut objectGuid en tant qu'identifiant unique lors de l'intégration de serveurs AD LDS LDAP avec Okta.

OKTA-456046

Lors du passage à Identity Engine, les organisations recevaient une erreur indiquant qu'elles possédaient des instances d'application sur site SharePoint non compatibles avec Identity Engine.

OKTA-459571

Dans la console administrateur, le statut des agents RADIUS affichait Opérationnel ou Interruption de manière aléatoire.

OKTA-459778

Les Sign-In Widgets personnalisés ne correspondaient pas à l'aperçu affiché dans l'éditeur de code du widget de connexion.

OKTA-460366

Dans Sécurité > Réseaux > Ajouter une zone d'IP, les adresses IP de proxy n'étaient pas identifiées spécifiquement en tant qu'adresses IP de proxy approuvées.

OKTA-461015

Les informations d'événement n'étaient pas indiquées sur la page Signaler une activité suspecte après que les utilisateurs avaient changé leur mot de passe dans le Sign-In Widget.

OKTA-461198

Lorsque la fonctionnalité Rôles d'administrateur personnalisés était activée, les administrateurs en lecture seule pouvaient afficher les boutons Affecter à des personnes, Affecter à des groupes et Modifier l'utilisateur sur la page Applications.

OKTA-462025

Les administrateurs qui actualisaient une page dans l'assistant de domaine d'URL personnalisé ne revenaient pas à la bonne étape.

OKTA-462114

La variable ${user.login} apparaissait dans les modèles d'e-mails par défaut.

Correctifs d'intégration d'application

Les applications SWA suivantes ne fonctionnaient pas correctement et sont désormais corrigées

• AppSplit (OKTA-462294)
• Auth0 (OKTA-456042)
• Dockerhub (OKTA-463515)
• FinServ (OKTA-463959)
• LoansPQ (OKTA-462410)
• MeridianLink LoansPQ (OKTA-460940)
• New Relic (OKTA-464710)
• ProtonMail (OKTA-463545)
• Salto Keys (OKTA-464469)
• WePay (OKTA-462296)
• Wikispaces (OKTA-462300)

Agent MFA sur site Okta, version 1.4.8

Cette version de l'agent contient des correctifs de sécurité. Consultez l'historique des versions de l'agent Okta On-Prem MFA.

Active Directory Agent Okta, version 3.8.0

Cette version de l'agent contient les améliorations suivantes :

• Prise en charge de la mise à jour automatique d'agent
• Amélioration de la fonctionnalité de connexion pour aider à la résolution de problème
• Correctifs de bug

Voir Historique des versions d'Okta Active Directory Agent.

Agent du serveur RADIUS Okta, version 2.17.2

Cette version de l'agent contient des correctifs de sécurité. Consultez Historique de version Agent Okta RADIUS Server.

Modifications de l'interface utilisateur de la console administrateur

Sur la page Intégrations d'appareils, l'onglet Gestion des points de terminaison inclut désormais une action Activer/Désactiver pour les configurations de bureau avec l'ancienne approbation d'appareil. Un message d'avertissement s'affiche également si un administrateur tente de désactiver l'approbation d'appareil alors que la stratégie d'authentification Identity Engine n'est pas configurée correctement pour les appareils non approuvés.

Statut de livraison des SMS dans le journal système

Les administrateurs peuvent désormais afficher le statut de livraison des SMS dans le journal système. Pour en savoir plus sur le nouveau type d'événement, consultez Configurer et utiliser la téléphonie.

Changement de nom de fonctionnalité : Nouvelle notification de connexion

La fonctionnalité Notification de nouvel appareil a été renommée Nouvelle notification de connexion dans le tableau de bord administrateur, dans le titre de l'e-mail de notification et aux autres emplacements. Il s'agit de la notification qu'un utilisateur reçoit par e-mail lorsqu'un événement de connexion se produit depuis un appareil non reconnu.

Nouvelles autorisations pour les rôles d'administrateur personnalisés

Les nouvelles permissions suivantes peuvent désormais être affectées à un rôle d'administrateur personnalisé :

• Activer les utilisateurs

• Désactiver les utilisateurs

• Suspendre les utilisateurs

• Annuler la suspension des utilisateurs

• Supprimer les utilisateurs

• Débloquer les utilisateurs

• Effacer les sessions utilisateur

• Réinitialiser les Authenticator des utilisateurs

• Réinitialiser les mots de passe des utilisateurs

• Définir le mot de passe temporaire des utilisateurs

• Exécuter les importations

Ces nouvelles permissions permettent aux super administrateurs de contrôler plus finement les permissions déléguées de leur organisation. Consultez la section À propos des autorisations de rôle.

Authentification YubiKey OTP disponible

L'authentification par mot de passe à usage unique YubiKey OTP est maintenant disponible pour les utilisateurs Okta Identity Engine. Consultez Configurer YubiKey pour les mots de passe à usage unique.

OKTA-420065

Dans Okta End-User Dashboard, les applications lancées dès la connexion se lançaient plusieurs fois lorsque l'utilisateur se connectait.

OKTA-448006

Certaines pages comportant le visuel de marque d'une entreprise affichaient un logo précédemment mis en ligne plutôt que celui du nouveau thème.

OKTA-452612

Pour certaines organisations, le contexte de l'utilisateur n'était pas indiqué dans les données de requête de crochet incorporé de jeton.

OKTA-453969

Certains utilisateurs Duo ne pouvaient pas s'authentifier après être passés à Okta Identity Engine.

OKTA-454206

Certains administrateurs ne disposant pas des permissions de super administrateur pouvaient voir un lien vers le rapport Affectation des rôles d'administrateur. Ce problème affectait les organisations pour lesquelles la fonctionnalité Rôles d'administrateur personnalisés était activée.

Correctifs d'intégration d'applications

Les applications SWA suivantes ne fonctionnaient pas correctement et sont désormais corrigées :

• Bendigo Bank (OKTA-454211)

• EdgeCast (OKTA-453148)

• Maxwell Health (OKTA-454213)

• My T-Mobile (OKTA-455732)

• Redis (OKTA-454218)